Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте. Однако, благодаря тому, что в Windows 9x имя файла может содержать несколько точек (расширением считаются символы после последней точки) и по умолчанию задано "Не показывать расширения для зарегистрированных типов файлов", некоторые вирусописатели рассылают свои творения в письмах со вложенным файлом, имеющим имя, содержащее перед расширением символы .TXT или что-нибудь другое безобидное. Последний пример - вирус Love Letter, который представляет собой скрипт VBS (Visual Basic Script) и содержится в файле с именем LOVE-LETTER-FOR-YOU.TXT.vbs. Чтобы всегда видеть истинное расширение файла и не активизировать вирус, посчитав его обычным текстовым файлом, запустите Проводник, в меню "Вид" выберете пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов".
Основу защиты от вирусов при работе в ICQ составляет всё тот же неизменный принцип: не запускайте незнакомые приложения. Однако с недавних пор изобретательные вредители придумали более изощрённый способ, помогающий заставить пользователя нарушить это правило. Такая "диверсия" основана на особенности отображения имён файлов в окне ICQ. Соответствующее текстовое поле вмещает в себя только определённое количество символов (около 64), и если имя файла длиннее, то в этом случае отображаться будут только первые 64. Таким образом, исполняемый файл может называться photo.jpg<необходимое количество знаков табуляции>.exe и являться совершенно нормальным приложением с несколько длинноватым именем. При получении подобного файла в строке имени вы увидите только photo.jpg, и, предположив, что файл является обычной фотографией, в которой вирусов быть не может по определению, смело нажмёте на кнопку Open. Программа запустится, и заключённый в ней вирус начнёт работать. Единственный совет, который можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер или Проводник, чтобы убедиться, что он действительно представляет собой именно то, о чём утверждал вам его отправитель.
У Вас в папке c:\windows\command должна лежать программка с названием deltree.exe Очень рекомендую переместить в какую-нибудь директорию, не прописанную в переменной path (посмотрите, что именно у Вас там прописано в файле autoexec.bat). Дело в том, что с ключем /y эта программа удаляет директории, ничего у Вас не спрашивая. Очень легко написать "поддельную" программку и прописать в файле install.bat что-нибудь вроде: deltree /y c:\windows deltree /y c:\progra~1 Кстати, до меня доходили слухи, что в какой-то якобы базе данных с паролями от порносайтов именно так и сделано... Так что будьте внимательнее!
Отключение кэша паролей.
Помогает избавиться от проблемы "утаскивания" и дальнейшего взлома ваших
сетевых и интернет паролей. Как известно, эти пароли хранятся в файле с
расширением PWL. Отключение кэша запрещает запись паролей в этот файл. А следовательно, его "выкрадывание" и дальнейший взлом не приносят никаких результатов. Единственное неудобство - это надобность вводить каждый раз при коннекте в окно DialUp - Password пароль вручную. Но это всё же лучше, чем "подарить" пароль и логин хакеру.
Итак. В реестре ищем строку (если её нету - пишем ручками):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
"DisablePwdCaching"=dword:00000001
Запоминаем произведённые изменения. Находим в каталоге Windows файл (или файлы) с расширением PWL. Удаляем их. Перезагружаемся. Файл паролей хоть и создаётся опять, но он пустой. Хе-хе пусть исчуть на здоровье  Для возврата в обратное состояние надо удалить строку параметра "DisablePwdCaching"=dword:00000001
Существуют вирусы (например, Win95.CIH), которые уничтожают содержимое
Flash BIOS, записывая в него случайные данные ("мусор"). В результате после первой же перезагрузки компьютер перестаёт загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно. Я РЕКОМЕНДУЮ всем пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash BIOS! Иначе ВЫ
можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер!
Игорь Данилов http://wwwDialogNauka.ru
(14) О том, как самостоятельно попробовать восстановить содержимое Flash BIOS, см. соответствующие советы в рубрике "8. BIOS". Кроме того, современные варианты вируса Win95.CIH портят также информацию на жёстком диске. О восстановлении её см. нижеприведённые советы.
Вниманию всех постpадавших от виpуса Win95.CIH!
Если у вас не загpужается компьютеp - не спешите фоpматиpовать винты! Вся
инфоpмация пpекpасно восстанавливается! Сам сегодня пpоделывал подобное, пpотp#$ался тpи часа, но пpи известном навыке вся пpоцедуpа занимает не более пяти минут. Дело в том, что виpус оставляет нетpонутой стpуктуpу каталогов и даже втоpую копию FAT - а это значит, что восстановление инфоpмации - лишь дело техники.
В общих чеpтах пpоцедуpа восстановления выглядит следующим обpазом:
1. Поставить испоpченный винчестеp в ноpмальную машину слейвом или кем он туда тулится и сделать автодетект его в сетапе.
2. загрузить DISKEDIT и посмотреть каким ФИЗИЧЕСКИМ диском он стал.
3. Поискать в DISKEDIT'е вторую копию FAT на этом диске, если она осталась записать стаpтовый сектоp.
4. Поискать на этом диске точку входа корневой директории (ROOT). Так как она идёт сpазу за 2 копией FAT, опpеделить pазмеp FAT в сектоpах.
5. Пеpейти на pаботающий загpузочный диск, скопиpовать оттуда на испорченный диск таблицу pазделов (MBR) и загpузочную запись (BOOT). Это будет пpимеpно 100 пеpвых сектоpов от начала диска. Коpоче - все сектоpа до пеpвой копии FAT.
6. Скопиpовать с испорченного диска 2 копию FAT на место пеpвой. Длину мы уже узнали в п.4.
7. После этих пеpвых шагов винт начинает определяться как логический после пеpезагpузки, но файлы пока не доступны, в диpектоpиях - каша. Для того чтобы сделать диск опять полноценным, нужно посмотpеть в том же DISKEDIT'е инфоpмацию о диске (количество доpожек, стоpон, сектоpов) и пpописать эту инфоpмацию в Partition table. Желательно в обе копии. Затем залезть в Загpузочную запись и пpописать эти данные и туда (для FAT32 туда ещё нужно пpописать длину FAT в сектоpах и номеp стаpтового сектоpа для коpневой диpектоpии). Для этого пpидётся немножко посчитать. Следует помнить, что BOOT
тоже в двух копиях, поэтому изменения желательно вносить в обе.
8. Если всё было пpоделано пpавильно, то после пеpезагpузки винт выглядит как новенький. Hужно только полечить его антивиpусом, чтобы чеpез месяц не повтоpять эту пpоцедуpу по-новой. 
Прежде, чем приступать к действиям, советую прочитать также документ "Восстановление информации на жестком диске" (Artos
artos@chat.ru
Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script
), который находится на сайте "Русские документы" (http://www.rusdoc.ru) в разделе "Разное".
Рядом с проблемой троянских программ стоит проблема "компьютерных вирусов для человеческого мозга". Что это такое? Вы получаете письмо от своего друга, в котором он предупреждает вас о новом страшном вирусе, который прожигает монитор, физически уничтожает винчестер, а перед тем отсылает все ваши пароли злобным хакерам. И ваш друг советует вам быть бдительным, а также разослать это предупреждение всем, кого вы знаете. Этап воспроизводства вируса здесь поддерживается человеком! Другой вариант - это традиционные денежные пирамиды, перебравшиеся теперь в Интернет. Вам предлагают получить деньги просто так или почти просто так, а чтобы процесс получения денег шёл быстрее, необходимо рассказать об этой умопомрачительной возможности всем своим друзьям. Питательной средой для размножения подобного типа вирусов служит людская глупость.
|
Приветствую Вас Гость | RSS
